Client VPN ne communique pas avec le LAN
-
Bonjour à tous,
Je vous explique ma situation :
Je voudrais connecter mon pfsense en client d'un réseau openVPN de sorte que tous les périphériques du LAN derrière puissent accéder aux périphériques sur le réseau VPN.Mon LAN est en : 192.168.0.0/24
Mon VPN est en : 10.43.0.0/24
Ma version : 2.3.3-RELEASE-p1 (amd64)
built on Thu Mar 09 07:17:41 CST 2017
FreeBSD 10.3-RELEASE-p17- Le tunnel VPN se monte sans problèmes
- JE PINGUE MEME ! depuis le pfsense sur le VPN
- mais je ne pingue pas du lan vers le VPN…
J'ai essayé :
- d'ajouter dans les custom option de mon client pfsense : route 192.168.0.0 255.255.255.0 IPPUBLIQUEDISTANTE
- D'ajouter différentes rules dans la section "openvpn" du pare-feu, dans la dernière je laissait tout passer !
Puisque le pfsense pingue, c'est que le vpn est fonctionnel, mais pfsense refuse de donner accès à mon Lan apparemment.
Un petit coup de pouce ? ::)
-
Pouvez vous décrire la configuration dans laquelle vous testez ?
Notamment la configuration réseau et l'emplacement de la machine depuis laquelle le test d'accès au lan échoue ? -
Puisque le pfsense pingue, c'est que le vpn est fonctionnel, mais pfsense refuse de donner accès à mon Lan apparemment.
Je pense que ta conclusion est un peu hâtive ;) et ta méthode un peu "tronquée"
1 - A mon avis, faire un ping "du tunnel" ne présente pas d'intérêt. Qui va essayer d'accéder au tunnel, à part le client et le serveur VPN eux-même ?
2 - Si ton client OpenVPN (ici pfSense) se connecte au serveur et que le tunnel est établi, il faut ensuite, et tu t'en doutes puisque tu as commencé à chercher dans cette direction, que les firewall de part et d'autre, autorisent les flux
3 - et pour que des équipements de part et d'autre arrivent à communiquer, il faut que, de part et d'autre, les routes vers les réseaux distants soient connues, soit au niveau des machines qui veulent échanger soit au niveau des passerelles par défaut.Une description un peu plus globale de ton environnement est en effet nécessaire pour se faire une idée de quel est le problème.
-
Salut,
Ce ne serait pas plutôt un problème d'IP Public communiqué? Je parle côté sécurité de paquets de données -
Si le tunnel est monté, la question ne se pose pas. Je ne comprend rien à la seconde phrase.
-
Moi non plus mais au moins je suis rassuré de ne pas être le seul
-
Merci à tous pour vos réponses :
Chris : En fait, quand je dis que je pingue sur le réseau, c'est que depuis le pfsense dans l'UI "Diagnostics", je pingue l'adresse IP VPN du périphérique qui m'intéresse sur ce VPN ainsi que la passerelle distante bien sûr. Je ne sais pas si ma méthode est "tronquée", mais si je pingue un périphérique bien précis dans le réseau distant, j'ai tendance à penser que le tunnel est bien établis, non ?
Par ailleurs, côté firewall distant, c'est un fournisseur de service qui me fournit ce service VPN, donc rien à chercher de ce côté là, le flux est forcément ouvert (c'est leur spécialité)J'essaie de schématiser :
Mon LAN–---------------------------PFsense------------------------------------------------Fournisseur VPN-------------------------------------Mon périphériquePC1–
---
PC2 -----------(192.168.0.0/24)MonPfsense(10.43.0.0/24)-----------(10.43.0.0/24)Gateway du fournisseur VPN--------------------10.43.0.10 Mon périphérique VPN distant que je pingue avec le Pfse.
---
PC3--J'espère que je suis clair :o
C'est ce qui m'amène à penser que le VPN est bien monté sur le pfsense (puisque je pingue le périphérique qui m'intéresse derrière la gateway du fournisseur VPN), mais que le Pfsense n'établit pas de routes pour permettre à mon Lan d'accéder aux périphériques de ce VPN.Vous me suivez ? ;D
-
J'avoue ne pas comprendre comment tes périphériques distants "derrière" le serveur VPN distant peuvent avoir une IP dans le même range que le tunnel lui même.
Normalement, le serveur VPN auquel tu te connectes annonce la route du réseau que ce serveur sert. Et donc ton client VPN (ici pfSense) connait cette route.
Tu peux d'ailleurs le vérifier sur le serveur pfSense.
Ensuite, comme pfSense est probablement ta gateway par défaut, il suffit que lui connaisse la route. Mais est-ce bien le cas ?
Et si c'est le cas, est-ce que du point de vue du réseau distant, la route vers ton LAN est connue ? -
(Quand on dit et répète qu'il y a un formulaire A LIRE EN PREMIER …)
Dans le cas d'un réseau site à site avec client OpenVPN et serveur OpenVPN, le bon schéma est :
réseau 1 <-> pfSense (client) <-> Serveur OpenVPN <-> réseau 2
Il y a donc 3 réseaux distincts (et avec adressages différents) :
réseau 1 : les PC et l'interface LAN du pfSense Client
réseau 3 : pfsense (interface TUN ou ovpn?) et le serveur OpenVpn
réseau 2 : l'interface lan du serveur OpenVPN et les PC côté ServeurIl est bien évident que les 3 réseaux doivent être bien distincts.
Donc vos tests sont nuls et sans significations ...Au lieu de faire faire des suppositions à vos lecteurs, donnez des détails LARGEMENT plus complets.
(Et arrêtez d'utiliser des expressions ambigües comme 'périphériques' !)
Vous êtes débutant, alors n'hésitez pas à décrire votre situation sans 'filtrer' les infos ...Comme on suppose que vous n'êtes pas l'administrateur du serveur VPN, l'avez vous au moins contacté ?
-
PC2 –---------(192.168.0.0/24)MonPfsense(10.43.0.0/24)-----------(10.43.0.0/24)Gateway du fournisseur VPN--------------------10.43.0.10 Mon périphérique VPN distant que je pingue avec le Pfse.
Je ne vois pas bien comment cela peut fonctionner. Il y a un problème soir d'adressage réseau, soit de description. Ou les deux.
périphérique VPN distant
Nommez tout simplement cette machine PC1 plutôt que ce vocabulaire ésotérique.
10.43.0.10 est probablement l'extrémité distante du tunnel vpn et probablement pas l'ip de PC1.
On nage dans le bonheur … -
Ok, je la refait en copiant directement les champs de la charte, en espérant que ce sera plus clair :
Contexte : Le Pfsense est la passerelle principale dans une PME donc à usage Pro, pour ma part je suis administrateur système et la solution a 1an environ.
Besoin : Faire communiquer les ordinateurs du LAN avec des périphériques (qui sont des routeurs 4G) situés sur un réseau OpenVPN dont le Pfsense est client.
Schéma :
WAN (modem/routeur/box) : 1 seul WAN sur mon pfsense avec une IP publique Fixe, le lien est une fibre dédiée 50Mbps
LAN : 1 seul LAN en 192.168.0.0/24 avec 25 ordinateurs environs et à peu près autant de téléphones en VoIP ainsi que quelques serveurs dans ce même LAN.
DMZ : Pas de DMZ
WIFI : 1 émetteurs wifi sur le LAN, pas de cloisonnement.
Autres interfaces : Aucune
Règles NAT : Forward en PJ, Rien dans 1:1 et Outbound en PJ. Je précise, que ce serveur dispose de 2 serveurs OVPN qui fonctionnent très bien et qui ne concernent pas ma problématique actuelle, je le porte simplement à votre connaissance.
Règles Firewall : En PJ
Packages ajoutés : J'ai ajouté simplement le package NtopNG et OpenVPN export client, pas plus à ma connaissance
Autres fonctions assignées au pfSense : Portail captif désactivé, et comme expliqué plus haut serveurs OVPN fonctionnels mais à dissocier du client VPN qui me préoccupe actuellement
Question : Comment faire pour parvenir à pinguer les routeurs connectés à mon VPN dont Pfsense est client avec un ordinateur de mon LAN
Pistes imaginées
Recherches : Tentative d'ajout de quelques règles dans le pare-feu que vous pouvez voir dans mes screens. Autant dans les règles WAN, LAN que OVPN. Je parviens à Pinguer l'addresse d'un de mes routeur VPN depuis le Pfsense, mais je n'arrive pas à pinguer ce même routeur depuis le LAN.
Logs et tests : complément de "Recherches" : J'aimerai bien, mais je ne vois pas quels logs je pourrais extraire ? J'ai regardé les logs du pare-feu, et à aucun moment je ne vois passer de lignes qui correspondrait à un ping initié depuis le LAN vers le VPN. Par ailleurs, j'ai fait des telnet depuis mon pc sur le LAN vers le périphérique VPN et les traceroute s'arrête au pfsense.
 -
C'est beaucoup mieux pour comprendre quelque chose.
Je parviens à Pinguer l'addresse d'un de mes routeur VPN depuis le Pfsense, mais je n'arrive pas à pinguer ce même routeur depuis le LAN.
Les machines du lan disposent elles des informations de routage correctes ? Le problème n'est pas tant de joindre le routeur distant mais les machines qui se trouvent derrière (quel adressage) …
Autres interfaces : Aucune
Je vois des règles mentionnant OPT1.
mais je ne vois pas quels logs je pourrais extraire
Les logs sont activés sur les règles ?
Par ailleurs des règles en double, en triple exemplaires.
Des règles de type "suicidaire" : RDP accessible depuis internet directement !
Un plan d'adressage clair serait bienvenu. -
Salut CCNET,
Les machines du lan disposent elles des informations de routage correctes ? Le problème n'est pas tant de joindre le routeur distant mais les machines qui se trouvent derrière (quel adressage) …
C'est à dire ?… Le réseau local est en 192.168.0.0/24, le système de VPN de notre fournisseur est un peu particulier, les routeurs VPN distants attribuent une adresse IP fixe sur le réseau VPN à tous les périphériques qui se trouvent derrière. Donc le routeur distant a l'adresse 10.43.0.254 et le périphérique qui est derrière (carte électronique) a l'adresse IP 10.43.0.10
Je vois des règles mentionnant OPT1.
Il y a effectivement une troisième interface OPT1 physique sur le serveur mais celle-ci n'est raccordée à rien.
Les logs sont activés sur les règles ?
Par ailleurs des règles en double, en triple exemplaires.
Des règles de type "suicidaire" : RDP accessible depuis internet directement !
Un plan d'adressage clair serait bienvenu.Non, je n'ai pas activé les logs sur les règles, car je ne sais pas ce que je dois loguer (le Wan ? le Lan ? OpenVPN ? Je filtre sur ICMP pour identifier mes pings ?…)
Pour les règles en double ou en triple, j'essaie de faire le ménage, pfsense crée automatiquement des règles quand on utilise les wizards et j'ai fait beaucoup d'essais, mais je ne veux pas faire d'erreur en supprimant de bonnes règles...
Qu'entends-tu par "plan d'adressage" ? -
1. Faites le ménage. Supprimez OPT1 et toutes les règles qui s"y rapportent.
2.C'est à dire ?
Le routage mis en place permet il à une machine du Lan de joindre une ip derrière le routeur VPN de votre fournisseur.
3.Qu'entends-tu par "plan d'adressage" ?
Difficile de vous aider efficacement vu les trous dans la raquette … Comment est géré l'adressage des différents réseaux qui doivent communiquer, quelles règles (je ne parle pas de filtrage), quelles conventions sont utilisées pour attribuer aux équipement une configuration réseau.
Non, je n'ai pas activé les logs sur les règles, car je ne sais pas ce que je dois loguer (le Wan ? le Lan ? OpenVPN ? Je filtre sur ICMP pour identifier mes pings ?…)
Vous pouvez toujours voir à la volé ce qui se passe avec : Diagnostics / Packet Capture. En filtrant judicieusement pour ne pas être noyé par le trafic qui ne vous intéresse pas.
-
1. Hmm.. L'interface OPT1 n'est même pas activée, puis-je serainement supprimer ces règles automatiques sans risque si je souhaite par la suite utiliser OPT1 ? Si oui, je vais les supprimer tout de suite.
2. Alors, ce que je peux dire c'est que ce n'est pas côté fournisseur. Celui-ci m'a indiqué que lorsque l'on se connectait à son service, leur serveur poussait automatiquement les routes nécessaires. Quand je me connecte directement avec OpenVPN sur windows, je pingue immédiatement les adresses 10.43.0.254 et 10.43.0.10
3. Je ne comprend pas bien votre question, les règles en place sont celles dans mes captures d'écran. Une convention pour attribuer une configuration réseau aux équipements ? Je suis désolé, je ne vous suis pas complètement…Je vais réessayer Packet Capture, mais sur les essais que j'ai fait je n'ai pas réussi à voir mes pings...
-
Bonjour,
J'ai maintenant fait un peu de ménage dans mes règles et NAT.
Maintenant, ce que j'essaie de comprendre en partant du début c'est :
Quelles règles de firewall/NAT, dois-je créer pour autoriser un réseau openVPN dont mon pfsense est client à pinguer les réseau distant et vise versa ?
Si je prend le formulaire de création de règle pour openVPN (en PJ), je n'ai pas dans la liste une "interface" openVPN client qui me permettrait de dire "vers ce serveur dont je suis client, je le laisse me pinguer, et je laisse mon LAN le pinguer".
Du coup je ne comprend pas quelle forme ma règle doit avoir… -
Pas de nat à ajouter.
Celui-ci m'a indiqué que lorsque l'on se connectait à son service, leur serveur poussait automatiquement les routes nécessaires. Quand je me connecte directement avec OpenVPN sur windows, je pingue immédiatement les adresses 10.43.0.254 et 10.43.0.10
Normal ! Mais votre machine dans le lan n'esr pas connecté directement au vpn de votre fournisseur. C'est votre client vpn sur Pfsense qui est connecté.
Donc a priori la machine du lan ne connait pas la route pour atteindre la destination (et retour évidement).
Par défaut Pfsense laisse sortir tout trafic.
Depuis le début vous pensez nat, règle alors que vous avez un problème de routage. -
Hello tout le monde,
Nouveau membre du site alors désolé si la forme n'est pas bonne.
Alors j'ai besoin de votre aide, j'ai mis en place un réseau openvpn pfsense multi-sites.
Un site possède le serveur vpn, les autres sont client via des routeurs.Or il arrive que lors de la création de nouveaux routeurs, en phase de test, je contaste que le LAN CLIENT contacte bien le LAN SERVEUR, mais l'inverse ne fonctionne pas (LAN SERVEUR n'arrive pas à contacter le LAN CLIENT).
Le nat OPENVPN-source Réseau LAN est bien activé sur le routeur LAN CLIENT.
Merci d'avance pour votre aide.
-
Du coup je n'ai pas posé la question lol!
Avez-vous déjà rencontré ce problème?
De plus je n'arrive pas à trouver le log des routes et nat du pfsense, seriez-vous où ils se situent?
Merci de votre aide :)
-
Je vous invite à créer un nouveau sujet. Votre problématique n'a de commun que le vpn avec le sujet sur lequel vous répondez. PornicFR traite de client nomade, vous de vpn intersite. C'est très différent.
Pour ce nouveau sujet je vous recommande la lecture de A LIRE EN PREMIER : https://forum.pfsense.org/index.php?topic=79600.0En l'état je ne comprend que très partiellement à votre problème. En gros çà marche dans un sens mais pas dans l'autre. Aucune information technique n'est fournie : plan d'adressage, topologie, règle, … Pas plus que la description de tests basiques qui ont été effectués, ou non. En gros votre question est du type : Quel âge avait Henri IV ?
Si vous répondez à cette question vous deviez comprendre dans quelle gêne nos sommes ou bien ne pas avoir besoin de notre aide.Edit : Pas plus clair après votre second post !